标题:
在windows2003上微点老被黑客关闭
[打印本页]
作者:
txsj
时间:
2009-8-5 05:02
标题:
在windows2003上微点老被黑客关闭
我的服务器安装的是windows2003,因为信任微点,所以装了,好像装上开机不能加载微点,只能手动启动,我以为没什么问题,
但前几天服务器被黑客入侵,安装了CryptWan.dll等后门程序,实在想不能微点不知道怎么搞的被关闭了,我经常改管理员账号,所以排除账号被知道的可能,上面安装了360,下面是杀毒日志
类型|木马名称|文件|处理时间
木马 | Trojan/Win32.lssj.2cc | C:\wmpub\wmiislog\vip\srss.exe | 2009-08-05 03:55:18
木马 | Win32/Hack.Agent | C:\wmpub\wmiislog\vip\svchost.exe | 2009-08-05 03:55:18
木马 | Trojan/Win32.lssj.2cc | C:\wmpub\wmiislog\vip\NTPass.dll | 2009-08-05 03:55:17
木马 | Win32/Hack.Agent | C:\wmpub\wmiislog\vip\svchost.exe | 2009-08-01 19:03:03
木马 | Trojan/Win32.lssj.2cc | C:\wmpub\wmiislog\vip\NTPass.dll | 2009-08-01 19:03:02
木马 | Trojan/Win32.lssj.2cc | C:\wmpub\wmiislog\vip\srss.exe | 2009-08-01 19:03:02
木马 | Trojan/Win32.lssj.2cc | C:\WINDOWS\system32\CryptWan.dll | 2009-08-01 19:03:00
木马 | Trojan/Win32.lssj.2cc | C:\wmpub\wmiislog\vip\NTPass.dll | 2009-08-01 14:35:49
木马 | Trojan/Win32.lssj.2cc | C:\wmpub\wmiislog\vip\srss.exe | 2009-08-01 14:35:49
木马 | Win32/Hack.Agent | C:\wmpub\wmiislog\vip\svchost.exe | 2009-08-01 14:35:49
木马 | Trojan/Win32.lssj.2cc | C:\WINDOWS\system32\CryptWan.dll | 2009-08-01 13:46:34
木马 | Win32/Hack.Agent | C:\wmpub\wmiislog\vip\svchost.exe | 2009-08-01 08:25:29
木马 | Trojan/Win32.lssj.2cc | C:\wmpub\wmiislog\vip\NTPass.dll | 2009-08-01 08:25:28
木马 | Trojan/Win32.lssj.2cc | C:\wmpub\wmiislog\vip\srss.exe | 2009-08-01 08:25:28
木马 | Trojan/Win32.lssj.2cc | C:\WINDOWS\system32\CryptWan.dll | 2009-08-01 08:06:55
很奇怪的是今天360也杀了 C:\WINDOWS\system32\CryptWan.dll 但是日志中并没有列出来
[
Last edited by txsj on 2009-8-5 at 05:24
]
作者:
txsj
时间:
2009-8-5 05:04
关键是删除了这些,还是被入侵,今天早上又有了,晕死,怎么微点一点没有用呢
作者:
txsj
时间:
2009-8-5 05:18
iexplore.exe远程连接时老是报错,
作者:
txsj
时间:
2009-8-5 05:22
也没有看到不正常的管理员登陆日志
作者:
Legend
时间:
2009-8-5 07:56
感谢楼主反馈
请问楼主是在远程操作的吗?
楼主加QQ:466248167 为好友,请他帮您看下
作者:
littlefritz
时间:
2009-8-5 08:36
360并不和WIN2003兼容呀
作者:
txsj
时间:
2009-8-5 09:42
我是远程操作啊,是服务器呢,晕死,也不知道怎么搞的,明明有毒在那里一点没反应,最后还被 关闭,气死我了
作者:
txsj
时间:
2009-8-5 09:43
这个论坛好差劲哦,查找自己的帖子都这么费劲,
作者:
jaber
时间:
2009-8-5 09:48
Wmpub位于系统盘符下,它是Windows Media Service的目录,即使没有安装该组件,也无法删除,切换到安全模式,系统仍然会自动建立该目录。
看来又是误报!
还是建议楼主联系微点客服,看下微点不启动的原因先。
作者:
理想未来
时间:
2009-8-5 10:10
楼主自己的问题,黑客没有关闭微点~
作者:
txsj
时间:
2009-8-6 23:27
不是误报,晕,我上面安装几个防火墙都被卸载了
作者:
点饭的百度空间
时间:
2009-8-7 09:32
一次针对[CryptWan.dll netsvrcz.dll syterm.dll]木马的查杀
继续,发现C:\WINDOWS\system32\winlogon.exe 进程被挂接了两个模块
一个是 C:\WINDOWS\system32\CryptWan.dll
一个是 c:\windows\system32\netsvrcz.dll
继续查一下系统帐号,发现guest帐号处于启用状态,但仍然在GUESTS组里,有问题。
不放心,找了mt.exe
mt.exe -chkuser
发现果然administrator帐号被克隆。TMD这鸟人。累不累。
好了现在干掉。
http://www.nc21.cn/ncnet/article.asp?nc=15-0-100-0-2378.xhtml
清理CryptWan.dll病毒
昨天发现公司外网服务器又被人侵入了,种了几个黑客软件。只要是用户通过3389端口从远程桌面登录系统,账号密码就会被记录下来。干掉这些个黑客软件和木马病毒后,用诺顿扫描,发现还有一个CryptWan.dll病毒,在system32目录下。
直接杀也没杀掉,因为正在被使用,也无法直接删除。用360卫士看了一下当前的进程,发现是winlogon进程在使用,看来是启动的时候装载的。直接跑到注册表中,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 下面一看,果然在这里面有,直接删掉,并重起系统。系统起来后,跑到system32目录下,直接删除,呵呵,搞定。
同时还发现该注册表键值下面还有几个可疑的dll项,google了一下,发现果然是木马,干掉。最后提高了系统的安全级别,提高了防火墙的级别。世界清静了,哈。
作者:
Legend
时间:
2009-8-12 14:49
楼主提供的文件经我们分析微点可以有效拦截处理,推荐楼主到我们的官方网站下载最新版的微点安装程序后重装一遍微点并更新到最新版。
此主题暂做关闭主题处理,如有其他问题,请您另开新帖讨论!
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
